Google se hâte de colmater une brèche de sécurité dans Gmail
Une faille susceptible d’être exploitée via Gmail a été vite réparée. Elle pouvait servir de levier pour des campagnes de spam ou de phishing.
Google a proposé rapidement un correctif pour une faille susceptible de servir à un pirate d’effectuer des campagnes de spam après avoir visité un site infecté.
Initialement, c’est une bug que TechCrunch a signalé dès le 20 novembre alors qu’un individu surnommé Vahe G. avait créé un site pour exploiter cette vulnérabilité.
Dans le schéma, le visiteur du site était affecté si la session Gmail était active.
A priori, la vulnérabilité était également exploitée au cas où un utilisateur se servait ou non du mode « incognito » disponible sur le navigateur Google Chrome.
« Nous avons rapidement résolu le souci qui portait sur les API de scripts disponibles sur Google Apps. La faille pouvait enclencher l’envoi sauvage d’e-mails lorsque les internautes visitaient un site affecté par le biais d’une session Gmail », a déclaré un porte-parole de Google. « Nous avons immédiatement retiré le site qui servait de démonstration. »
Selon Graham Cluley, Consultant senior pour Sophos (éditeur de solutions de sécurité), cette faille représentait du pain béni pour les spammeurs.
« Bien que cet exploit [instructions qui permettent l’exploitation de la faille] ait été monté pour réaliser des petits méfaits, des pirates plus malicieux auraient pu exploiter cette faille pour lancer des opérations d’envoi massif d’emails avec des pseudo-propositions alléchantes que l’on rencontre fréquemment. Elle pouvait également servir de levier pour diffuser des agents malveillants ou pour lancer une attaque par phishing », écrit-il dans une contribution blog en date du 21 novembre. « Les utilisateurs seraient tentés de cliquer sur le lien s’ils s’aperçoivent que cela provient de Google, quitte à compromettre leurs données personnelles ».
Pour l’expert en sécurité IT, le verdict est clair. « Cette faille était un trou sérieux dans la sécurité. Alors que les internautes veulent se fier à des webmails avec une boîte de réception fiable et un filtrage des e-mails entrants approprié. »
Récemment, Google a réactualisé son programme de récompenses des développeurs signalant des failles critiques directement à la division sécurité de la firme.
Adaptation libre en français d’un article eWeek.co.uk : Google Rushes Out Patch For Gmail Security Flaw (23/11/10)